Autor sa v tomto odbornom blogu zameriava na otázku sprístupnenia údajov o nakazených nebezpečne nákazlivou chorobou COVID-19 samosprávam zo strany štátu. Táto téma bola otvorená zo strany Združenia miest a obcí a je predmetom diskusie v médiách.
Združenie miest a obcí (ZMOS) na tlačovej konferencií v piatok (7.8.2020) okrem iných tém otvorilo aj otázky nedostatočného informovanie obcí a miest v súvislosti so šírením koronavírusu zo strany štátu.[1] Jednou z hlavných požiadaviek zástupcov samospráv bolo, aby im štát sprístupňoval údaje o nakázaných za účelom lepšieho nastavenia opatrení na ochranu života a zdravia obyvateľov obce. Nebudem na tomto mieste rozoberať, či samosprávy naozaj potrebujú poznať identifikovaných jednotlivcov s potvrdeným ochorením COVID-19 na tento účel a či nepostačujú verejne dostupné štatistické zistenia, nakoľko táto otázka závisí aj od veľkosti obce či mesta, počtu obyvateľov či ďalších premenných ako geografická blízkosť ku susedným štátom, ktorým sa v boji s pandémiou darí možno menej. Zameriam sa však na otázku, akým spôsobom by mohlo legálne dôjsť k takémuto prenosu údajov zo strany štátu na samosprávu v kontexte nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „GDPR“).[2]
Základné východiská
Ak hovoríme o sprístupnení informácií o pozitívne testovaných jednotlivcoch na COVID-19 zo strany Úradu verejného zdravotníctva SR (ÚVZ) samosprávam, ide jednoznačne o osobné údaje v zmysle článku 4 bodu 1 GDPR[3] a ich spracúvanie. Z tohto dôvodu táto spracovateľská operácia podlieha GDPR a tento právny rámec je potrebné brať do úvahy. Vzhľadom na to, informácia o akomkoľvek ochorení je údaj týkajúci sa zdravia dotknutej osoby, ide dokonca o citlivý osobný údaj, ktorý GDPR v článku 9 chráni v osobitnom režime a viaže na ich spracúvanie viacero podmienok.
Ak by teda chcel ÚVZ poskytnúť dané údaje samosprávam, išlo by o prenos medzi dvoma samostatnými prevádzkovateľmi. Samotný prenos je spracúvaním osobných údajov. V tejto súvislosti je potrebné upozorniť, že na to, aby bolo spracúvanie osobných údajov zákonné (článok 6 GDPR), je potrebné, aby obaja prevádzkovatelia disponovali tzv. právnym základom pre spracúvanie osobných údajov. Ide o právom aprobovaný dôvod na ich spracúvanie a článok 6 GDPR upravuje šesť takýchto právnych základov: súhlas dotknutej osoby, plnenie zmluvy, zákonná povinnosť, životne dôležitý záujem, verejný záujem alebo oprávnený záujem.
ÚVZ spracúva osobné údaje o testovaných jednotlivcoch na právnom základe zákonnej povinnosti v zmysle článku 6 ods. 1 písm. c) GDPR s ohľadom na osobitný zákon, ktorý to priamo umožňuje.[4] Obec vyslovene v osobitnej právnej úprave takto definovanú povinnosť alebo právo nemá. Avšak práve tu vstupuje do hry právny základ verejného záujmu podľa článku 6 ods. 1 písm. e) GDPR, v zmysle ktorého je požiadavka zákonnosti splnená, ak: „…spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.“ Na jeho aplikáciu totiž nie je nevyhnutné, aby išlo o povinnosti explicitne upravenú v osobitnom zákone. Úplne postačuje, že verejný záujem je možné odvodiť z právneho poriadku, či už priamo alebo nepriamo. Samozrejme, využitie verejného záujmu ako právneho základu nie je a ani nemôže byť bezbrehé a má svoje limity, ktoré by mali byť pri jeho používaní zohľadnené prevádzkovateľom (napríklad ťažko by obce argumentovali správnym využitím tohto právneho základu pri zverejnení zoznamu nakazených jednotlivcov na verejne prístupnom mieste). V tejto súvislosti dokonca GDPR v recitálovej časti priamo zvýrazňuje spracúvanie údajov v kontexte pandémie na danom právnom základe: „Niektoré typy spracúvania môžu slúžiť na dôležité účely verejného záujmu aj životne dôležité záujmy dotknutej osoby, napríklad ak je spracúvanie nevyhnutné na humanitárne účely vrátane monitorovania epidémií a ich šírenia alebo v humanitárnych núdzových situáciách, najmä v prípade prírodných katastrof a katastrof spôsobených ľudskou činnosťou.“[5]
Som presvedčený, že obce a mestá takýto verejný záujem majú a odvodzujem ho z § 4 ods. 3 zákona o obecnom zriadení,[6] ktorý znie: „Obec pri výkone samosprávy najmä…utvára a chráni zdravé podmienky a zdravý spôsob života a práce obyvateľov obce, chráni životné prostredie, ako aj utvára podmienky na zabezpečovanie zdravotnej starostlivosti, na vzdelávanie, kultúru, osvetovú činnosť, záujmovú umeleckú činnosť, telesnú kultúru a šport.“ Podmienku na to, aby mohli samosprávy tieto údaje zákonne spracúvať teda máme splnenú.
Podmienky na spracúvanie údajov týkajúcich sa zdravia
Ako bolo uvedené vyššie, údaje týkajúce sa zdravia sú citlivými osobnými údajmi. Praktickým dôsledkom spracúvania takýchto údajov je to, že prevádzkovateľovi nestačí iba disponovať právnym základom podľa článku 6 GDPR, ale musí zároveň vhodne využiť aj niektorú z výnimiek pre spracúvanie citlivých osobných údajov podľa článku 9 ods. 2 GDPR. Výpočet týchto výnimiek je pomerne široký a v súvislosti s predmetnými údajmi v danej situácií by boli možné použiteľné dve a to konkrétne:
- spracúvanie je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie alebo práva členského štátu, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby, najmä profesijné tajomstvo (článok 9 ods. 2 písm. i) GDPR);
- spracúvanie je nevyhnutné z dôvodov významného verejného záujmu na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a stanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby (článok 9 ods. 2 písm. i) GDPR).
Ako už bolo uvedené v predchádzajúcej časti, verejný záujem je možné v zákone o obecnom zriadení nájsť, pričom požiadavka jeho významnosti resp. oblasti verejného zdravia je len zvýraznená súčasnou pandémiou. Vyššie uvedené výnimky však na ich zákonné použitie zároveň vyžadujú, aby osobitný právny predpis, na ktorý sa prevádzkovateľ spolieha ustanovoval vhodné a konkrétne opatrenia na zabezpečenie ochrany práv a záujmov dotknutej osoby. Čo možno považovať za vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby GDPR nedefinuje a ani iným spôsobom neupravuje. Doktrína uvádza, že by malo ísť predovšetkým o opatrenia v zmysle proporcionality spracúvania osobných údajov, minimalizácie údajov či bezpečnosti.[7] Ide o určitú „brzdu“ a ochranu citlivých osobných údajov pred ich zneužitím zo strany prevádzkovateľov. Zákon o obecnom zriadení v súčasnosti takéto opatrenia neobsahuje a z tohto dôvodu nie je táto požiadavka v našom právnom poriadku reflektovaná.
Ako by to išlo?
Z vyššie uvedeného tak vyplýva, že obce a mesta by mohli k údajom pristupovať iba v takom prípade, v ktorom by legislatíva ustanovovala vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby. Domnievam sa, že najvhodnejšie by bolo tieto opatrenia zakotviť do zákona o obecnom zriadení. Ako príklad daných opatrení, ktoré by mohli byť legislatívne zakotvené možno uviesť najmä:
- Vymedzenie účelu, na aký by obce chceli tieto údaje používať a na to nadviazať požiadavku subsidiarity;[8]
- Dobu uchovávania daných údajov a povinnosť údaje vymazať zo strany obce po uplynutí účelu;
- Spracúvať iba naozaj nevyhnutný rozsah údajov;
- Povinnosť organizačne zabezpečiť, aby k daným údajom pristupovali iba oprávnené osoby;
- Vyžadovať od oprávnených osôb zachovanie mlčanlivosti;
- Vyžadovať určitý štandard bezpečnosti spracúvania osobných údajov na strane obcí a miest.
ÚVZ by mal taktiež proaktívne upozorňovať dotknuté osoby na sprístupnenie ich osobných údajov samosprávam. Prirodzene, vyššie uvedené opatrenia slúžia iba na inšpiráciu a nepredstavujú končený alebo jediný správny návrh z obsahového hľadiska.
Zároveň sa domnievam, že tieto opatrenia by nemali byť zakotvené v podzákonnom právnom predpise. Takýto výklad je v súlade s recitálom 41 GDPR,[9] Ústavou Slovenskej republiky[10] a vyplýva aj z konštantnej judikatúry Ústavného súdu SR.[11]
Bráni tomu zákon o ochrane osobných údajov?
Určite nebráni. Napriek tomu, že náš zákon v § 13 ods. 2 ustanovuje, že „spracúvané osobné údaje na základe osobitného zákona možno z informačného systému poskytnúť, preniesť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania alebo účel zverejňovania, zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov, ktoré možno poskytnúť alebo zverejniť, prípadne príjemcov, ktorým sa osobné údaje poskytnú,“ táto časť zákona sa na danú situáciu neaplikuje. Je to z dôvodu komplikovanej pôsobnosti našej právnej úpravy, pri ktorej sa dané ustanovenie aplikuje iba v prípade, ak spracúvanie nespadá pod právo EÚ. Aj vzhľadom na proaktívny prístup EÚ v tejto veci je jasné, že toto nie je ten prípad.
Závery
V zmysle požiadaviek ZMOSu by obce a mestá mohli získať od štátu za podmienky, že dôjde ku novele zákona o obecnom zriadení, ktorá doň zakotví vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby. Spracúvanie osobných údajov a právo na ochranu súkromia je potrebné reflektovať a dodržiavať aj v čase mimoriadnej situácie. GDPR takýto prenos určite nezakazuje, iba stanovuje mantinely, v akých sa prevádzkovatelia osobných údajov musia pohybovať.
Autor: JUDr. Matúš Mesarčík, PhD., LL.M., Univerzita Komenského v Bratislave, Právnická fakulta, Ústav práva informačných technológií a práva duševného vlastníctva, E-mail: matus.mesarcik@flaw.uniba.sk
[1] Prvá vlna COVID-19 odkryla informačný deficit. Dostupné na https://www.zmos.sk/prva-vlna-covid-19-odkryla-informacny-deficit–oznam/mid/405616/.html#m_405616.
[2] Slovenský zákon č. 18/2018 Z. z. o ochrane osobných údajov sa v diskutovanej časti neaplikuje, vzhľadom na to, že daná časť zákona sa aplikuje iba v prípade, ak spracovateľské operácie nepodliehajú právu Európskej únie. Pozri viac Úrad na ochranu osobných údajov SR: Kedy zákon a kedy nariadenie? Dostupné na: https://dataprotection.gov.sk/uoou/sites/default/files/kedy_zakon_kedy_nariadeniepdff.pdf (dostupné 10.8.2020).
[3] „osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.“
[4] Zákon č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov.
[5] Recitál 46 GDPR.
[6] Zákon č. 369/1990 Zb. o obecnom zriadení.
[7] GEORGIEVA, L. – KUNER, CH..: Processing of special categories of personal data . In KUNER, CH. – BYGRAVE, L. – DOCKSEY, CH.: The EU General Data Protection Regulation (GDPR). A commentary. Oxford: Oxford University Press, 2020, s. 381 – 382.
[8] Napríklad aby si obec alebo meste žiadali rozsahom a časovo len tie informácie, ktoré na základe epidemiologických informácií sú nevyhnutné (napr. zohľadniť faktory ako inkubačnú dobu alebo spôsob šírenia.). Pozri Uznesenie Ústavného súdu SR sp. zn. PL. ÚS 13/2020-103.
[9] Recitál 41 GDPR: „Keď sa v tomto nariadení odkazuje na právny základ alebo legislatívne opatrenie, nemusí sa tým nevyhnutne vyžadovať legislatívny akt prijatý parlamentom, bez toho, aby boli dotknuté požiadavky vyplývajúce z ústavného poriadku dotknutého členského štátu….“
[10] Článok 13 ods. 2 Ústavy Slovenskej republiky: „Medze základných práv a slobôd možno upraviť za podmienok ustanovených touto ústavou len zákonom.“
[11] Bod 101 PL. ÚS. 13/2020-103: „Ako vyplýva aj z judikatúry ústavného súdu (sp. zn. PL. ÚS 7/96), vláda nemôže nariadením predurčiť medze základných práv a slobôd… Ako ústavný súd zdôraznil aj vo svojom rozhodnutí sp. zn. PL. ÚS 10/2014 (bod 134), len zákonodarca je ústavne legitimovaný na to, aby na základe svojho uváženia pri rešpektovaní princípu proporcionality priznal stanoveniu určitej povinnosti prednosť aprobovaného verejného záujmu pred základným právom. Podľa čl. 13 ods. 2 ústavy sa uplatňuje výhrada zákona (nemožnosť delegovať obmedzovanie základných práv na exekutívu), ktorá je zároveň vyjadrením výhrady parlamentu (porovnaj „Parlamentsvorbehalt“ v nemeckom ústavnom práve, napr. rozhodnutie sp. zn. 2 BvR 2302/11 a 1279/12). Zákon preto nemôže splnomocniť orgán výkonnej moci na vydanie predpisu nižšej právnej sily, ktorý by určoval medze základných práv a slobôd. Ústava zveruje právo určiť medze základných práv a slobôd len zákonodarnému zboru…“